Товарищи гуру,
Заметил что если целятся со стороны инета к серверу, по все равно какому протоколу - скорость бешено маленькая.. аж жуть как будто нет вобще. если вырубаю правило ната то все шуршит быстро но без ната., правило в одну строчку, что бы его обнять правилами нетамса.скрипт фаервола:
em0 - inet
em1 - lanipfw show:
#98 divert 199 ip from any to any via em0
#100 divert 8668 ip from any to any via em0
#101 divert 199 ip from any to any via em0
все было хоршо пока работало двумя правилами c доков и манов: айпишнег внешний статик.
/sbin/ipfw -q add divert natd ip from 192.168.0.0/24 to any out via em0
/sbin/ipfw -q add divert natd ip from any to 123.123.123.10 in via em0
Писал в одну строку с айпишнкимаи и подсетями- не натитсо.
Как же описать такое дело... Что бы было удаленно хоть комфортно работать...?
>Товарищи гуру,
>Заметил что если целятся со стороны инета к серверу, по все равно
>какому протоколу - скорость бешено маленькая..В соседней теме мой такой же вопрос три дня уже висит без ответа. Скорость замерил по ФТП (тотал коммандером) с внешки - ровно 1 кб/с
ipfw -a list
покажи
>ipfw -a list
>покажи00100 13086 25217038 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 skipto 10000 ip from 192.168.1.0/24 to 195.138.72.210 dst-port 25
00500 2146 2848772 allow ip from me to any dst-port 25
00600 3391 559728 allow ip from 192.168.0.0/16 to 192.168.0.0/16
00700 0 0 deny ip from 192.168.0.0/16 to not me dst-port 25
00800 2 656 deny ip from 192.168.1.0/24 to any in via em0
00900 0 0 deny ip from 195.138.72.208/30 to any in via em1
01000 165 30888 deny ip from any to 10.0.0.0/8 via em0
01100 0 0 deny ip from any to 172.16.0.0/12 via em0
01200 0 0 deny ip from any to 192.168.0.0/16 via em0
01300 0 0 deny ip from any to 0.0.0.0/8 via em0
01400 0 0 deny ip from any to 169.254.0.0/16 via em0
01500 0 0 deny ip from any to 192.0.2.0/24 via em0
01600 0 0 deny ip from any to 224.0.0.0/4 via em0
01700 5 1652 deny ip from any to 240.0.0.0/4 via em0
01800 0 0 deny log ip from any to not me dst-port 445
01900 0 0 deny log ip from not me to any dst-port 445
02000 0 0 deny log ip from any to not me dst-port 135
02100 6 360 deny log ip from not me to any dst-port 135
02200 0 0 deny log ip from any to not me dst-port 137-139
02300 12 576 deny log ip from not me to any dst-port 137-139
09000 4724 928319 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 out via em0
10000 130084 28895942 divert 8668 ip from any to any via em0
10100 0 0 deny ip from 10.0.0.0/8 to any via em0
10200 0 0 deny ip from 172.16.0.0/12 to any via em0
10300 0 0 deny ip from 192.168.0.0/16 to any via em0
10400 0 0 deny ip from 0.0.0.0/8 to any via em0
10500 0 0 deny ip from 169.254.0.0/16 to any via em0
10600 0 0 deny ip from 192.0.2.0/24 to any via em0
10700 0 0 deny ip from 224.0.0.0/4 to any via em0
10800 0 0 deny ip from 240.0.0.0/4 to any via em0
10900 73255 28473968 allow tcp from any to any established
11000 0 0 allow ip from any to any frag
11100 68701 7008359 allow ip from any to any
11200 0 0 allow tcp from any to 195.138.72.210 dst-port 25 setup
11300 0 0 allow tcp from any to 195.138.72.210 dst-port 53 setup
11400 0 0 allow udp from any to 195.138.72.210 dst-port 53
11500 0 0 allow udp from 195.138.72.210 53 to any
11600 0 0 allow tcp from any to 195.138.72.210 dst-port 80 setup
11700 0 0 deny log tcp from any to any in via em0 setup
11800 0 0 allow tcp from any to any setup
11900 0 0 allow udp from 195.138.72.210 to any dst-port 53 keep-state
12000 0 0 allow udp from 195.138.72.210 to any dst-port 123 keep-state
65535 0 0 deny ip from any to any
>[оверквотинг удален]
>11800 0
> 0 allow tcp from any to any setup
>11900 0
> 0 allow udp from 195.138.72.210 to any dst-port 53
>keep-state
>12000 0
> 0 allow udp from 195.138.72.210 to any dst-port 123
>keep-state
>65535 0
> 0 deny ip from any to any==
10000 130084 28895942 divert 8668 ip from any to any via em0
==
dumau chto nam nado perepisat etu strochku ispolzuya vmesto "any" staticu(s ney u menya vse shurshalo kak raketa).
Mojno Dvumya strochkami opisat Dlya Tebya poidet, dlya menya ne znau - NETAMS'om mojno toka odnu strochku obnyat ili ya zablujdau's:pfw add divert natd ip from 10.101.60.71 to 80.73.1.114 via интерфейс
ipfw add divert natd ip from 80.73.1.114 to 10.101.60.71 via интерфейсnemogu shas proverit - ofis sidit plotno na shnure. doma esli uspeu pod vmwaroq bsd+winda - proveru
>ipfw -a list
>покажиvesco-nat# ipfw show
00098 1338346 752264819 divert 199 ip from any to any via em0
00100 1339131 752532433 divert 8668 ip from any to any via em0
00101 1338343 752264739 divert 199 ip from any to any via em0
00300 1339131 752532433 allow ip from any to any via em0
00400 1343323 753183929 allow ip from any to any via em1
00500 1626 592688 allow ip from any to any via lo0
65535 0 0 deny ip from any to any
>vesco-nat# ipfw show
>00098 1338346 752264819 divert 199 ip from any to any via em0
>00100 1339131 752532433 divert 8668 ip from any to any via em0
>00101 1338343 752264739 divert 199 ip from any to any via em0полный бред ...
>полный бред ...А по теме никаких мыслей нет?
P.s. У меня заработала скорость извне со следующим конфигом:
09000 318 59998 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 out via em0
10000 0 0 divert 8668 log ip from 192.168.1.0/24 to any out via em0
10001 766 167209 divert 8668 log ip from any to 195.138.72.210 in via em0Но пугают нули счетчиках на 10000 правило.
Проверить, есть ли доступ из локалки в инет сейчас нет возможности.
>[оверквотинг удален]
>09000 318 59998 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to
>any dst-port 80 out via em0
>10000 0 0
>divert 8668 log ip from 192.168.1.0/24 to any out via em0
>
>10001 766 167209 divert 8668 log ip from any to
>195.138.72.210 in via em0
>
>Но пугают нули счетчиках на 10000 правило.
>Проверить, есть ли доступ из локалки в инет сейчас нет возможности.меня терзают смутные сомнения - но я даже незнаю чтобы еще спросить
ибо с таким конфигом работать не должно!
>[оверквотинг удален]
>>
>>10001 766 167209 divert 8668 log ip from any to
>>195.138.72.210 in via em0
>>
>>Но пугают нули счетчиках на 10000 правило.
>>Проверить, есть ли доступ из локалки в инет сейчас нет возможности.
>
>меня терзают смутные сомнения - но я даже незнаю чтобы еще спросить
>
>ибо с таким конфигом работать не должно!OPishi svoe pravilo esli moj
>ибо с таким конфигом работать не должно!это не полный конфиг, а часть моего вышевыложенного.
>это не полный конфиг, а часть моего вышевыложенного.Вот к чему я сам пришел:
10000 7219 8572001 divert 8668 ip from any to 195.138.72.210 in via em0
10001 2918 161015 divert 8668 ip from 192.168.1.0/24 to any out via em0
Пакетики бегают, юзеры в инет ходят, я извне подключаюсь со скоростью канала. :)
Всем спасибо.
>>это не полный конфиг, а часть моего вышевыложенного.
>
>Вот к чему я сам пришел:
>10000 7219 8572001 divert
>8668 ip from any to 195.138.72.210 in via em0
>10001 2918 161015
>divert 8668 ip from 192.168.1.0/24 to any out via em0
>Пакетики бегают, юзеры в инет ходят, я извне подключаюсь со скоростью канала.
>:)
>Всем спасибо.А если это все дело еще и на ipfw nat переделать, тогда вообще всё шикарно будет.
Попробуй. Там только нат законфигурить (вместо запуска natd), да вместо divert 8668 заюзать ipfw nat.
>А если это все дело еще и на ipfw nat переделать, тогда
>вообще всё шикарно будет.Два вопроса: как переделать? (знал бы, к гуру не обращался бы)
что будет шикарно? ;-)
>>это не полный конфиг, а часть моего вышевыложенного.
>
>Вот к чему я сам пришел:
>10000 7219 8572001 divert
>8668 ip from any to 195.138.72.210 in via em0
>10001 2918 161015
>divert 8668 ip from 192.168.1.0/24 to any out via em0
>Пакетики бегают, юзеры в инет ходят, я извне подключаюсь со скоростью канала.
>:)
>Всем спасибо.у вас юзвери во вне ходят исключительно на один айпи?
>у вас юзвери во вне ходят исключительно на один айпи?Не понял вопроса... А откуда это видно в моих конфигах?
>
>>у вас юзвери во вне ходят исключительно на один айпи?
>
>Не понял вопроса... А откуда это видно в моих конфигах?всмысле ЧЕРЕЗ один айпи? алиасы?
>всмысле ЧЕРЕЗ один айпи? алиасы?Ну да, на шлюз выделен провом один IP, через него и ходят. :)
>
>>всмысле ЧЕРЕЗ один айпи? алиасы?
>
>Ну да, на шлюз выделен провом один IP, через него и ходят.
>:)и почему же интерено глюки пока не прописать принудительно внешний айпи?
>и почему же интерено глюки пока не прописать принудительно внешний айпи?Поэтому я и пришел сюда с вопросом )))
>[оверквотинг удален]
>09000 318 59998 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to
>any dst-port 80 out via em0
>10000 0 0
>divert 8668 log ip from 192.168.1.0/24 to any out via em0
>
>10001 766 167209 divert 8668 log ip from any to
>195.138.72.210 in via em0
>
>Но пугают нули счетчиках на 10000 правило.
>Проверить, есть ли доступ из локалки в инет сейчас нет возможности.Поставьте вместо 10000:
divert 8668 log ip from any to any out via em0уберите 10001
и не парьте моск. Вместо того, чтобы копипастить гору непонятных правил, начните с простого и попробуйте вникнуть в смысл.
Счетчики у Вас на нуле, потому что на исходящем интерфейсе после прохождения через НАТ ip источника изаменяется на ip интерфейса, на котором висит этот самый нат, а он немножко не попадает в 192.168.1.0/24
>Поставьте вместо 10000:
>divert 8668 log ip from any to any out via em0
>
>уберите 10001
>
>и не парьте моск.Да я бы моск не парил, но при таком конфиге (он был изначальный) скорость доступа извне была ооочень маленькой. Объяснения так и не нашел этому.
Потом путем проб и ошибок определил, какой конфиг является оптимальным. А это именно две строчки: отдельно для входящих запросов и для исходящих.